遠隔操作ウイルス事件、結局、残った「証拠」はなんなのだろう

遠隔操作ウイルス事件、結局、残った「証拠」はなんなのだろう

今回はメカAGさんのブログからご寄稿いただきました。

遠隔操作ウイルス事件、結局、残った「証拠」はなんなのだろう

「遠隔操作 「職場で作成した痕跡」も誤報の疑い」 2013年12月25日 『GoHoo』
http://gohoo.org/alerts/131225/

検察側は11日の三者協議で、Dropboxに関する証拠の立証趣旨について説明。これは遠隔操作ウイルスがDropboxにアップロードされたという犯行手段を立証するためのものであって、片山さんが犯人であること(犯人性)の立証のためのものではない旨を明言したとのことです。

この件も当初から変だと思ってたんだよね。そもそも証拠云々以前に警察の理屈の立て方がおかしい。「職場で作られた証拠」があるとしたら、それは1)ウィルスの実行ファイルに組み込まれた情報、2)DropboxにアップロードしたIPアドレス、の2点しか論理的にありえないはず。

   *   *   *

で実行ファイルに組み込まれた情報というのは、以前も述べたように限られている。そしてそもそもウィルス本体にそういう情報がついてるなら、それ自体が証拠になるのだからDropboxのサーバは関係ないはず。

そうなると2番めのDropboxへのアップロードに使用したIPアドレスが職場のものだったのかな?と。ただこれだけTorを使って慎重にコトを進めている真犯人なら、DropboxへのアップロードもTorを使ってIPアドレスを隠すだろう。ただ真犯人も完璧ではないだろうから、うっかり生IPで接続してしまったこともありえるかもしれない。

そういう情報を警察は入手したのかな、と半信半疑ながら推測していた。警察が発表した情報が正しいと仮定するなら、これしかありえないわけで。ところがそもそも検察の「職場で作られた証拠を入手できた」という発表が嘘だったとは。笑わせてくれる。

   *   *   *

もっとも、生IPで接続したとしても、Dropboxのサーバに残るのは勤務先のパソコンが使用する共有のIPアドレスのはずで、容疑者が使用した特定のPC(のIPアドレス)までは辿れないはず。企業内では企業全体で使用するIPアドレスをいくつか保持していて、それをLAN内のパソコンが共通で使いまわすのが一般的。

IPアドレスは限りがあるので(よくIPアドレスの枯渇とか話題になる)、LAN内のパソコンそれぞれに対してグローバルなIPアドレスを割り当てることができない。なのでこういう仕組みになっている。だからDropboxに仮に生IPアドレスが残されていたとしても、アップロードしたのが容疑者のPCからなのか、同僚のPCなのかは、Dropboxのサーバのログからは特定できない。

それにこの場合「ウィルスをアップロードしたPC」であって、「ウィルスを作成したPC」という表現にはならないと思うんだよね。まあこの点だけなら「素人向けの表現」といえるかもしれないけど。でも事件の証拠なのだから、きちんと区別することが重要だと思うんだけどね。

   *   *   *

以前も書いたけど、この事件の一連の警察発表を見て受ける印象は、「ただのウワサ話に終始している」というもの。たとえば俺が解析の担当者だとして、技術的なことがまったくわからない人間に「進捗はどう?」と尋ねられたとする。

その時点ではまだあれこれいろいろな可能性を調べている最中。たとえばその可能性の中には「もしかしたらDropboxのサーバに生IPが残ってるかもしれません」というのもあるだろう。しかしそれは可能性であって、実際に残ってるかどうかはいまから調べなければわからない。

しかし技術に疎い人間はそれを聞いて「DropboxのサーバにIPアドレスが残ってる可能性を調べている」→「Dropboxのサーバに残ってそうだ」→「DropboxのサーバにIPアドレスがあったようだ」と、伝言ゲームでどんどんわけのわからない話になっていく。

そういうことがないように、文書で中間や最終報告書を出すのだが、それを待たずに、うわさ話ばかりが警察内で無責任にひろがり、情報の信憑性に責任を負わないような、すなわち直接の調査チームでない部外者が、マスコミに「小耳に挟んだ情報」としてリークしたとしか考えられない。

   *   *   *

実際こういうのはあるんだよね。直接の担当者である俺よりも、何故か客先の方がトラブルについて詳しい(笑)。しかも微妙に間違っている。で、そんないい加減な情報を客先に漏らしたのは誰だ?とたどっていくと、「出処は俺!?」と。

と、こういうことが重なるから、だんだん技術者は口が重くなっていくのだよね…。中途半端に進捗を漏らすと、尾ひれがついて、最終的にめまいがするような形になって帰ってくる。

よく「正式な報告書を出しますのでそれまで待ってください」と木で鼻をくくったような対応をされる事があると思う。客としては「正式な情報はそれはそれでほしいが、とりあえず現状わかってる状況だけでもしりたい」と思う気持ちはわかる。わかるのだが、それをすると、こういうことになるのだよね…。客からすれば「なんて融通がきかないんだ」と思うだろうけど。

この事件に関しては、警察はいろいろな意味で素人。ただ気になるのはこういうことは「この事件に関して」だけなのか?だよねぇ。

   *   *   *

容疑者を真犯人と断定する証拠って、いま何が残ってるんですかね?江ノ島に行って猫を抱いただけ?Dropboxのサーバには結局、容疑者のPCはもとより、職場のIPアドレスさえ残ってなかったという解釈でいいのだろうか。容疑者のPCからかは特定できなくても、せめて職場のどれかのPCからアップロードされた証拠(IPアドレス)があれば、傍証にはなるだろうけど(その場合職場の誰かが犯人の可能性は無視できない)、それは警察は主張してないんですかね。

執筆:この記事はメカAGさんのブログからご寄稿いただきました。

寄稿いただいた記事は2013年12月28日時点のものです。

  1. HOME
  2. 政治・経済・社会
  3. 遠隔操作ウイルス事件、結局、残った「証拠」はなんなのだろう

寄稿

ガジェット通信はデジタルガジェット情報・ライフスタイル提案等を提供するウェブ媒体です。シリアスさを排除し、ジョークを交えながら肩の力を抜いて楽しんでいただけるやわらかニュースサイトを目指しています。 こちらのアカウントから記事の寄稿依頼をさせていただいております。

TwitterID: getnews_kiko

  • ガジェット通信編集部への情報提供はこちら
  • 記事内の筆者見解は明示のない限りガジェット通信を代表するものではありません。